Сообщение Gate News, 23 апреля — Vercel сообщила 19 апреля, что ее инцидент в области безопасности, первоначально описанный как затрагивающий «ограниченное подмножество клиентов», расширился и теперь затрагивает гораздо более широкое сообщество разработчиков, особенно тех, кто создает рабочие процессы для ИИ-агентов. Атака может затронуть сотни пользователей в нескольких организациях, не ограничиваясь одной лишь Vercel, но потенциально влияя на более широкую технологическую индустрию.
Нарушение началось с того, что сотрудник Context.ai заразился вредоносным ПО Lumma Stealer после загрузки скрипта Roblox Auto-farm и инструментов для эксплуатации игры. Зловред скомпрометировал учетные данные для входа в Google Workspace сотрудника и ключи доступа к платформам, включая Supabase, Datadog и Authkit. Затем злоумышленник использовал украденный OAuth-токен для доступа к учетной записи Google Workspace Vercel, которая была создана с использованием корпоративного аккаунта Vercel с разрешениями «allow all». Оказавшись внутри, злоумышленник расшифровал не относящиеся к конфиденциальным данным переменные среды, хотя чувствительные данные оставались защищенными благодаря мерам хранения Vercel.
Разработчики ИИ сталкиваются с повышенным риском, потому что они обычно хранят критически важные учетные данные — такие как ключи API OpenAI или Anthropic, строки подключения к векторным базам данных, секреты вебхуков и токены сторонних инструментов — в переменных среды, не помечая их вручную как чувствительные. Эти учетные данные не помечаются системой автоматически, что оставляет их уязвимыми для раскрытия.
В ответ Vercel обновила свою платформу так, что все вновь создаваемые переменные среды по умолчанию помечаются как чувствительные. Команда безопасности компании поделилась уникальным идентификатором скомпрометированного OAuth-приложения, призвав администраторов Google Workspace проверить журналы доступа. Context.ai, при поддержке CTO Nudge Security Хайме Бласко, обнаружила дополнительное предоставление разрешений OAuth с доступом к Google Drive и немедленно уведомила затронутых клиентов, указав шаги по устранению последствий.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Vercel открывает фреймворк deepsec с открытым исходным кодом, предлагая 1 000+ параллельных процессов в песочнице для локального сканирования безопасности ИИ
Согласно Beating, Vercel опубликовала в открытый доступ deepsec — AI-ориентированный фреймворк для тестирования безопасности, который позволяет разработчикам сканировать большие кодовые базы локально, не раскрывая исходный код внешним облачным сервисам. Фреймворк использует многоэтапный процесс верификации: после первоначальной regex-фильтрации, an
GateNews1ч назад
Токен Agent Work Protocol Token AWP взлетает более чем на 300% за 24 часа; запускается подпетля Ardinals Inscription Subnet
По данным on-chain, нативный токен AWP протокола Agent Work Protocol взлетел более чем на 300% за 24 часа 4 мая. AWP — это протокол для AI Agents, включающий 100% fair launch без выделения под VC, командного резерва или пресейла; все токены распределяются через эмиссию протокола. У протокола есть
GateNews12ч назад
Haun Ventures закрывает фонд на 1 миллиард долларов 4 мая, разделяя капитал между ранними и поздними инвестициями в криптовалюты
По данным Bloomberg, Haun Ventures завершила раунд по привлечению средств на 1 миллиард долларов 4 мая: 500 миллионов долларов будут направлены на инвестиции на ранней стадии, и 500 миллионов долларов — на инвестиции на поздней стадии. Фонд планирует задействовать капитал в течение следующих двух-трёх лет, ориентируясь на стартапы в сфере криптовалют и блокчейна, при этом расшир
GateNews13ч назад
Китай блокирует приобретение Meta компании US$2B Manus AI
Китай объявил, что блокирует приобретение компанией Meta американской компании Manus по сделке на сумму 2 миллиардов долларов США, ссылаясь на опасения по поводу передачи китайской интеллектуальной собственности в области искусственного интеллекта компании из США, сообщает Tech in Asia.
Manus — компания, основанная в Китае, которая перенесла штаб-квартиру в
CryptoFrontier05-04 02:12
Nous Research запускает агент Hermes v0.12.0 с системой совместной работы Kanban Multi-Agent
Согласно Beating, открытое исходное фреймворк Hermes Agent от Nous Research представило систему канбан-коллаборации для мультиагентов в версии v0.12.0. Система позволяет агентам работать как независимые процессы: автономно брать на выполнение задачи с общей доски задач и выполнять их параллельно, заменяя
GateNews05-04 01:17
Исследователи внедряют технологию DPN-LE для редактирования личностных черт ИИ, изменяя всего 0,5% нейронов
По данным BlockBeats, 3 мая исследователь ИИ Брайан Роммель сообщил, что его Zero-Human Company внедрила технологию DPN-LE (Dual Personality Neuron Localization and Editing) для точной настройки
GateNews05-03 14:05
